マイナンバーカードの機能のスマートフォン搭載に関する検討会（第1回）

概要

• 日時：令和4年8月3日（水）13時00分から15時00分まで

• 場所：オンライン開催

• 議事次第：

1. 開会
2. 議事
   （1）開催要綱 について
   （2）スマホ搭載の取り組み状況について
   （3）意見交換
3. 閉会

資料

• 議事次第（PDF／47KB）
• 資料1 開催要項及び別紙構成員等（PDF／150KB）
• 資料2 スマホ搭載の取り組み状況について（PDF／1,607KB）
• 資料3 スマホ搭載　行政機関・民間事業者向け説明資料（PDF／2,012KB）
• 議事概要（PDF／486KB）

議事概要

日時

令和4年8月3日（水）13時00分から15時00分まで

場所

オンライン開催

出席者

有識者

手塚座長、太田座長代理、小尾構成員、瀧構成員、野村構成員、宮内構成員、森山構成員

自治体・業界団体

神保未来創造部情報政策課副主幹（前橋市）、西森マイナンバー推進担当課長（神戸市）、下仲個人番号センター長・橋本個人番号センター副センター庁・林公的個人認証新システム開発部上席審議役（地方公共団体情報システム機構）、佐々木MVNO委員会運営分科会主査（一般社団法人テレコムサービス協会）、山田業務部長・丸山氏・斎藤氏・馬場氏・静氏・岡田氏・福島氏・山田氏・加藤氏・君島氏・上野氏（一般社団法人電気通信事業者協会）

オブザーバー

フェリカネットワーク株式会社、情報セキュリティ大学院大学、xID株式会社、日本電気株式会社、エヌ・ティ・ティ・コミュニケーションズ株式会社、株式会社日立製作所、一般社団法人リユースモバイル・ジャパン、一般財団法人日本情報経済社会推進協会、一般社団法人全国携帯電話販売代理店協会、総務省

事務局等

（デジタル庁）

• 江崎Chief Architect
• 水島Chief Product Officer
• 藤本Chief Technology Officer
• 湯本戦略・組織グループ 特命担当次長
• 楠デジタル社会共通機能グループ長（統括官）
• 林アイデンティティアーキテクト、下江トラストサービスマネージャー（デジタル社会共通機能グループ）
• 上仮屋参事官、二茅参事官補佐、坪内プロダクトマネージャー（国民向けサービスグループ）

構成員等からの主な意見（要約）

資料2について

• スマホ搭載は現在開発中のため、実際に開発している方々と一体感を持って進める必要がある。事務局は開発状況等を的確に有識者に共有いただき、有識者が検討できる形にして頂きたい。

• CC認証の手続きについて、今後は評価を行う段階に進んでいくものと認識している。CC認証の手続きにて課題が発生するようであれば、早急に対応を取っていくことが必要となる。

• 生体認証は、今のところ利用者証明用電子証明書の方のみが適用されることになっている。署名用電子証明書にも生体認証を適用すべきなのか検討が必要ではないか。現在・将来に何をすべきか、考えていく必要がある。

• スライド2「関係者一覧」は、開発を進めていく時点でのスナップショットである。リリース後・提供開始後も営みとして検討していくことが重要であり、それを意識した関係者一覧の記載が必要ではないか。

• スライド8「スマホ用電子証明書の発行の手続き」について、生体認証がデフォルトの導線となっていないため、多くの人は生体認証の登録をしないのではないか。また、スライド9「スマホ用電子証明書の利用（マイナポータルログイン①）」のログイン認証においては、パスワード入力で本人確認を行っており、デフォルトは生体認証ではない。下に「スマホの認証設定を利用」とあるが、これが生体認証とわかる人は多くない。開発者目線ではAndroidの互換性に関する技術仕様に関する記載にあるとおり生体認証をセカンダリーとして作りたくなるのはわかるが、利用者目線で考えると、見直した方がよいと思われる。国民に便利に使っていただくための画面遷移がどうあるべきかレビューを繰り返すだけで大きく変わってくる。

資料3について

• マイナンバー制度、マイナンバーカード、スマホ搭載の意義・利便性について、この資料を使って展開していくとよい。公的個人認証サービスの次のステップとしてスマホ搭載があり、官だけではなく、官民一体となって、民間利用も進めていくことが重要である。この分野については、国民が育てていくシステムという考え方を持つことが重要であり、有識者並びに事務局が一体となって取組を進めていくことが重要。

• 民間ではオンライン資格確認を含めてJPKIそのものを使う仕組みになっているため、できる限り早い対応を依頼しないと、運用開始までに間に合わないことが危惧される。特に有効と思われる分野について、いかに早くスマホJPKIを見える形で先行して導入していくかが重要となる。

• スライド4「マイナンバーカード機能のスマートフォン搭載によって目指す姿」について、頻度高く使われるユースケースを大事にしていくべきである。コンビニ交付で住民票を取る際に、マイナンバーカードを持ち出さなくて、スマホだけでよいといった体験談が重要なナラティブになるのではないか。また、プロダクトリリース後PDCA等で改善していくことが大事である。目立ったナラティブに沿って議論が進みがちであるが、脱落率やダウンロードされた割合、ユースケースとして活用されている数等の数字をベースにした議論ができるとよい。

• ユースケースについて、民間サービスでのオンライン手続きとして、まだ見えていない利用者の利便性が高いサービスが隠れているような気がしており、民間事業者の知恵を拝借しながら進めていくべきと考えている。医療分野について、実際に高齢者の話を聞くと、マイナンバーカードを持っていくことに抵抗感があるため、スマホ一つで全てできるのであれば、もっと活用されると考えている。

• スライド15「生体認証の利用（利用者証明用パスワードの代替）」に関して、認証操作フロー（イメージ）として「PINを使用」と書いてあるが、実際のアンドロイドの画面とは違う。アンドロイドでは生体認証を使うことがデフォルトになっている。細かいところも含めて、画面にこだわった方が良い。

• スライド21「③ホワイトリスト登録申請について」について、ホワイトリストの管理については、単純にホワイトリストに登録すればいいというわけではなく、第三者機関等を使って安全性を確認することが大切である。

• スライド21「③ホワイトリスト登録申請について」に記載の9月の情報開示について、マイナンバーカードをスマホにかざして本人確認するシーンが民間事業者で広まってきているため、スマホにマイナンバーカードの機能が搭載されるとより一層マイナンバーカードの利用シーンが進むと思われる。

その他について

• 昨年度に総務省の省令が変わり、行政手続きに使う本人確認の認証は電子署名法の認定を受けたものにすることとなった。現在デジタル田園都市構想の取組が行われているが、前橋市でマイナンバーカードの電子署名法の認定方式を使った「まえばしID」という方式がある。両者ともに方式は異なるが、マイナンバーカードを活用して、自治体並びに民間でセキュアかつ便利に使えるようする方向性は同じである。両者の関係性は整理したほうが良い。

• スマホJPKIはマイナポータルアプリに組み込まれる形で世に出ていくことになるが、マイナポータルアプリは使い勝手が悪いとのユーザー評価が下されている。最初のリリースには間に合わないとしても、場合によっては予算を取って、使い勝手を良くする取り組みに繋げられればよい。

• デジタル田園都市構想について、次の申請に向けて様々な自治体が考えているため、スマホ搭載された機能の活用を今後のデジタル田園都市構想で新たなサービス提供を目指す自治体に使ってもらう取り組みが必要ではないか。

• スマホ搭載を公的機関や病院で使用するにあたり、民間で使用するには公的個人認証法が厳格な法律ということもあり、法律上の縛りが残っている。そこを解決していくことが民間使用での重要なポイントとなる。今回、スマホに搭載するものが実印と同等の証明力を持つものであり、気軽に使ってもらうことはあってはならない。重要な意思表示の場合に、スマホで実印と同等の証明をすることを国民に意識させることが必要であり、アプリケーションとしても“スマホで実印と同等の署名”であることがわかるように考えていく必要がある。

• 犯罪収益移転防止法における本人確認の定義では、サービスを使う時の本人確認には署名用電子証明書を使うと明記されている。つまりはサービスを使うときには実印を押していることになる。広くこの機能を使う場合には、議論を深めた方が良い。

• 電子認証の国の基盤を作る以上、セキュリティを考慮すべきである。前回の第2次取りまとめ案に係る協議の際に、セキュリティバイデザインの話を提起させていただいたが、進んでいくステージに合わせて、随時イテレーションでの評価、セキュリティデザインを継続して進めていくべきである。

• ホワイトリスト申請について、どのように運用していくのかだけでなく、PF事業者・SP事業者の関係等、ホワイトリストに載せることは重みがあるため、しっかり検討すべきである。

• 実印との切り離しという観点では、署名と本人確認は分ける等、サービスレベルを分ける検討をしてもよい。

• 今回の試みはかなり先進的な仕組みとなるが、国内にとどまらず、国際的に使えるように国際標準化等への働きかけを行うべきである。

• 物理的にシステムから切り離せるカードと異なり、スマホ搭載においては実印に相当する鍵管理するGP-SEがAlways-On（常時利用可能）の状態で提供される。アプリ連携等で外部から不用意に実印を求められることがないよう、正しく制御する必要があるため、アプリ連携API等の設計は慎重に検討していただきたい。

• 来年度以降の話しかも知れないが、次世代認証インフラの在り方に関する検討会のような場を立ち上げることを期待する。現在は基本4情報をJPKI証明書に記載した、古典的なPKIを使った署名を実施している。このため、署名検証の際にJPKI証明書の提示に付随して、必要がない場合でも基本4情報を提示することを避けられず、個人情報保護等を配慮して認定事業者に署名の検証を委ねなければならない。これではPKIを導入した意味が半減し、JPKI利用の高コスト要因にもなっている。将来的には必要な属性だけを証明するSSI (Self-Sovereign Identity)等を導入し、エンドツーエンドで署名の検証ができる仕組みに移行すべきと考えている。

以上